在 Azure Active Directory B2C 中啟用多重要素驗證

這很重要

自 2025 年 5 月 1 日起，Azure AD B2C 將不再可供新客戶購買。 在我們的常見問題中深入瞭解。

開始之前，請使用此頁面頂端的 [選擇原則類型] 選取器，選擇您要設定的原則類型。 Azure Active Directory B2C 提供兩種方法來定義使用者如何與您的應用程式互動：透過預先定義的使用者流程，或透過完全可設定的自訂原則。 此文章中所需的步驟隨各方法而異。

Azure Active Directory B2C （Azure AD B2C） 直接與 Microsoft Entra 多重要素驗證 整合，讓您可以在應用程式中新增第二層安全性來註冊和登入體驗。 如果您已建立註冊和登入使用者流程，您仍然可以啟用多重要素驗證。

使用此功能應用程式可以處理多個案例，例如：

• 要求多重要素驗證才能存取一個應用程式，但不需要它存取另一個應用程式。 例如，客戶可以使用社交或當地帳戶登入自動保險應用程式，但必須先驗證電話號碼，才能存取相同目錄中註冊的家庭保險申請。
• 要求對應用程式的一般存取進行多重身份驗證，但不要求對其中的敏感部分進行驗證。 例如，客戶可以使用社交或本機帳戶登入銀行應用程式，並檢查賬戶餘額，但必須在嘗試電匯之前先確認電話號碼。

先決條件

• 建立使用者流程，讓使用者能夠註冊並登入您的應用程式。
• 註冊 Web 應用程式。

• 完成開始使用 Active Directory B2C 中的自定義原則中的步驟。 本教學課程會引導您更新自定義原則檔案，以使用您的 Azure AD B2C 租用戶設定。
• 註冊 Web 應用程式。

驗證方法

使用 條件式存取時，系統管理員可以根據配置決策來決定使用者是否需要執行 MFA 驗證。 多重要素驗證的方法如下：

• 電子郵件 - 登入期間，會傳送包含一次性密碼 （OTP） 的驗證電子郵件給使用者。 使用者提供電子郵件中傳送給應用程式的 OTP 程式代碼。
• SMS 或電話 - 在第一次註冊或登入期間，系統會要求使用者提供並驗證電話號碼。 在後續登入期間，系統會提示用戶選取 [ 傳送程序代碼 ] 或 [ 呼叫我 ] 選項。 視使用者選擇而定，會傳送簡訊，或撥打電話給已驗證的電話號碼來識別使用者。 使用者會提供透過簡訊傳送的 OTP 代碼，或核准來電。
• 僅限通話 - 的運作方式與簡訊或通話選項相同，但只會撥打電話。
• 僅限簡訊 - 與簡訊或通話選項相同，但只會傳送簡訊。
• 驗證器應用程式 - TOTP - 使用者必須在擁有的裝置上安裝支援以時間為基礎的一次性密碼 （TOTP） 驗證的驗證 器應用程式，例如Microsoft Authenticator 應用程式。 在第一次註冊或登入期間，用戶會掃描 QR 代碼，或使用驗證器應用程式手動輸入代碼。 在後續登入期間，使用者輸入出現在驗證器應用程式上的 TOTP 程式代碼。 請參閱 如何設定 Microsoft Authenticator 應用程式。

這很重要

驗證器應用程式 - TOTP 提供比 SMS/電話 和電子郵件更高的安全性，其中電子郵件的安全性最低。 SMS/電話型多重要素驗證會產生與一般 Azure AD B2C MAU 定價模式不同的費用。

設定多重要素驗證

1. 登入 Azure 入口網站。

2. 如果您有多個租用戶的存取權，請使用頂端功能表中的 [設定] 圖示，從 [目錄 + 訂用帳戶] 功能表切換至您的 Azure AD B2C 租用戶。

3. 在左側功能表中，選取 [Azure AD B2C]。 或者，選取 [所有服務 ]，然後搜尋並選取 [Azure AD B2C]。

4. 選取 [使用者流程]。

5. 選取您想要啟用 MFA 的使用者流程。 例如， B2C_1_signinsignup。

6. 選取 屬性。

7. 在 [ 多重要素驗證 ] 區段中，選取所需的 方法類型。 然後在 [MFA 強制] 下選取選項：

   • 關閉 - 在登入期間永遠不會強制執行 MFA，而且不會在註冊或登入期間提示用戶註冊 MFA。

   • 永遠開啟 - 不論條件式存取設定為何，一律需要 MFA。 註冊期間，系統會提示用戶註冊 MFA。 在登入期間，如果使用者尚未在 MFA 中註冊，系統會提示他們註冊。

   • 條件式 - 在註冊和登入期間，系統會提示用戶啟用 MFA（新使用者和未在 MFA 中啟用的現有使用者）。 在登入期間，只有在作用中的條件式存取原則評估需要時，才會強制執行 MFA：

     • 如果結果是沒有風險的 MFA 挑戰，則 MFA 將被強制執行。 如果使用者尚未在 MFA 中註冊，系統會提示他們註冊。
     • 如果結果是由於風險而造成 MFA 挑戰， 且 使用者未在 MFA 中註冊，則會封鎖登入。

   備註

   • 隨著 Azure AD B2C 中條件式存取的正式運作，用戶現在會在註冊期間提示在 MFA 方法中註冊。 您在正式運作前建立的任何註冊使用者流程都不會自動反映這個新行為，但您可以藉由建立新的使用者流程來包含該行為。
   • 如果您選取 [ 條件式]，您也需要 將條件式存取新增至使用者流程，並指定您想要套用原則的應用程式。
   • 註冊使用者流程預設會停用多重要素驗證。 您可以使用電話註冊在使用者流程中啟用 MFA，但因為電話號碼會作為主要標識碼使用，因此電子郵件一次性密碼是唯一可用於第二個驗證要素的選項。

8. 選取 [儲存]。 此使用者流程現在已啟用多重身份驗證。

您可以使用 執行使用者流程 來驗證體驗。 確認下列案例：

在多重身份驗證步驟發生之前，會在您的租戶中建立客戶帳戶。 在步驟中，系統會要求客戶提供電話號碼並加以驗證。 如果驗證成功，電話號碼會附加至帳戶以供稍後使用。 即使客戶取消或退出，仍可在下次登入時要求客戶再次驗證電話號碼，只要啟用了多重身份驗證。

若要啟用多重要素驗證，請從 GitHub 取得自定義原則入門套件，如下所示：

• 下載 .zip 檔案 ，或從 https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack複製存放庫，然後使用您的 Azure AD B2C 租用戶名稱更新 SocialAndLocalAccountsWithMFA 入門套件中的 XML 檔案。 SocialAndLocalAccountsWithMFA 會啟用社交和本機登入選項，以及多重要素驗證選項，但 Authenticator 應用程式 - TOTP 選項除外。
• 若要支援 Authenticator 應用程式 - TOTP MFA 選項，請從 https://github.com/azure-ad-b2c/samples/tree/master/policies/totp下載自定義原則檔案，然後使用您的 Azure AD B2C 租使用者名稱更新 XML 檔案。 請務必包含 TrustFrameworkExtensions.xml、TrustFrameworkLocalization.xml 和 TrustFrameworkBase.xml 這些 XML 檔案，這些檔案來自 SocialAndLocalAccounts 入門套件。
• 將 [版面設定] 更新為版本 2.1.14。 如需詳細資訊，請參閱 選取版面配置。

使用驗證程式在 TOTP 中註冊使用者（適用於終端使用者）

當 Azure AD B2C 應用程式使用 MFA 的 TOTP 選項時，用戶必須使用驗證器應用程式來產生 TOTP 程式代碼。 使用者可以使用 Microsoft Authenticator 應用程式 或任何其他支援 TOTP 驗證的驗證器應用程式。 如果使用 Microsoft Authenticator 應用程式，Azure AD B2C 系統管理員必須建議終端使用者使用下列步驟來設定 Microsoft Authenticator 應用程式：

1. 在您的 Android 或 iOS 行動裝置上下載並安裝 Microsoft Authenticator 應用程式。
2. 開啟 Azure AD B2C 應用程式，要求您使用 TOTP for MFA，例如 Contoso webapp，然後輸入必要資訊來登入或註冊。
3. 如果您使用驗證器應用程式掃描 QR 代碼來註冊您的帳戶，請在手機中開啟 Microsoft Authenticator 應用程式，然後在右上角選取 3 點 功能表圖示 （適用於 Android） 或 + 功能表圖示 （適用於 iOS）。
4. 選取 [+ 新增帳戶]。
5. 選取 [其他帳戶]（Google、Facebook 等），然後掃描 Azure AD B2C 應用程式中顯示的 QR 代碼來註冊您的帳戶。 如果您無法掃描 QR 代碼，您可以手動新增帳戶：
   1. 在手機上Microsoft驗證器應用程式中，選取 [或手動輸入代碼]。
   2. 在 Azure AD B2C 應用程式中，選取 [仍然發生問題？]。 這會顯示 [帳戶名稱 ] 和 [ 密碼]。
   3. 在您的 Microsoft Authenticator 應用程式中輸入帳戶名稱和密碼，然後選取 [完成]。
6. 在 Azure AD B2C 應用程式中，選取 [ 繼續]。
7. 在 [輸入您的程序代碼] 中，輸入出現在您Microsoft Authenticator 應用程式中的程序代碼。
8. 選擇 驗證。
9. 在後續登入應用程式期間，輸入出現在 Microsoft Authenticator 應用程式中的程式代碼。

瞭解 OATH 軟體令牌

刪除使用者的 TOTP 驗證器註冊 （適用於系統管理員）

在 Azure AD B2C 中，您可以刪除使用者的 TOTP 驗證器應用程式註冊。 然後，系統會強制使用者重新註冊其帳戶，以再次使用TOTP驗證。 若要刪除使用者的 TOTP 註冊，您可以使用 Azure 入口網站或Microsoft Graph API。

備註

• 從 Azure AD B2C 刪除使用者的 TOTP 驗證器應用程式註冊並不會移除其裝置上 TOTP 驗證器應用程式中的用戶帳戶。 系統管理員必須先指示使用者從裝置上的 TOTP 驗證器應用程式手動刪除其帳戶，然後再嘗試再次註冊。
• 如果使用者不小心從 TOTP 驗證器應用程式刪除其帳戶，他們必須通知系統管理員或應用程式擁有者，他們可以從 Azure AD B2C 刪除使用者的 TOTP 驗證器註冊，以便使用者重新註冊。

使用 Azure 入口網站刪除 TOTP 驗證器應用程式註冊

1. 登入 Azure 入口網站。
2. 如果您有多個租用戶的存取權，請使用頂端功能表中的 [設定] 圖示，從 [目錄 + 訂用帳戶] 功能表切換至您的 Azure AD B2C 租用戶。
3. 在左側功能表中，選取 [ 使用者]。
4. 搜尋並選取您要刪除 TOTP 驗證器應用程式註冊的使用者。
5. 在左側功能表中，選取 [ 驗證方法]。
6. 在 [可使用的驗證方法] 下，尋找 [軟體 OATH 令牌]，然後選取其旁邊的省略號功能表。 如果您沒有看到這個介面，請選取 [ 切換至新的使用者驗證方法體驗] 選項！按兩下這裡立即使用它」 ，切換至新的驗證方法體驗。
7. 選取 [刪除]，然後選取 [是] 予以確認。

使用 Microsoft Graph API 刪除 TOTP 驗證器應用程式註冊

瞭解如何使用 Microsoft Graph API 刪除使用者的 Software OATH 令牌驗證方法 。

依國家/區域畫分的簡訊價格層級

下表提供不同國家或區域簡訊型驗證服務之不同價格層級的詳細資訊。 如需定價詳細數據，請參閱 Azure AD B2C 定價。

SMS 是附加元件功能，需要連結的訂用帳戶。 如果訂用帳戶到期或取消，終端使用者將無法再使用簡訊進行驗證，這可能會視 MFA 原則而定，防止他們登入。

等級	國家/區域
電話驗證低成本	澳大利亞、巴西、汶萊、加拿大、智利、中國、哥倫比亞、塞普勒斯、北馬其頓、波蘭、葡萄牙、韓國、泰國、圖爾基耶、美國
電話驗證中低成本	格陵蘭、阿爾巴尼亞、美屬薩摩亞、奧地利、巴哈馬、 巴林、波士尼亞 & 黑塞哥維那、博茨瓦納、哥斯大黎加、捷克共和國、丹麥、愛沙尼亞、法羅群島、芬蘭、法國、希臘、香港特別行政區、匈牙利、冰島、愛爾蘭、義大利、義大利、日本、拉脫維亞、立陶宛、盧森堡、澳門特區、馬爾他、墨西哥、密克羅尼西亞、摩爾多瓦、納米比亞、紐西蘭、尼加拉瓜、挪威、羅馬尼亞、聖托梅和普林西比、塞里切共和國、新加坡、斯洛伐克、所羅門群島、西班牙、 瑞典、瑞士、台灣、英國、美國維珍群島、烏拉圭
電話驗證的中等至高成本	安道爾、安哥拉、安圭拉、南極洲、安提瓜和巴布達、阿根廷、亞美尼亞、阿魯巴、巴巴多斯、比利時、貝南、玻利維亞、博奈爾、庫拉索、薩巴、辛特尤斯塔修斯和聖馬丁、英屬維爾京群島、保加利亞、布基納法索、喀麥隆、開曼群島、中非共和國、庫克群島、象牙海岸、克羅埃西亞、迭戈加西亞、吉布地、多明尼加共和國、厄瓜多爾、薩爾瓦多、厄立特里亞、福克蘭群島、斐濟、法屬圭亞那、法屬波利尼西亞、岡比亞、喬治亞、德國、直布羅陀、格林納達、瓜德羅普、關島、幾內亞、蓋亞那、宏都拉斯、印度、肯尼亞、基里巴斯、寮國、賴比瑞亞、馬來西亞、馬紹爾群島、馬丁尼克、模里西斯、摩納哥、蒙特內哥羅、蒙特塞拉特、荷蘭、新喀里多尼亞、紐埃、阿曼、帕勞、巴拿馬、巴拉圭、秘魯、波多黎各、留尼汪、盧安達、聖赫勒拿、阿森松和特里斯坦-達庫尼亞、聖基茨和尼維斯、聖盧西亞、聖皮埃爾和密克隆、聖文森及格瑞那丁、塞班、薩摩亞、聖馬力諾、沙烏地阿拉伯、聖馬丁、斯洛文尼亞、南非、南蘇丹、蘇利南、斯威士蘭（新名稱為史瓦帝尼王國）、東帝汶、托克勞、湯加、特克斯和凱科斯、圖瓦盧、阿拉伯聯合大公國、瓦努阿圖、委內瑞拉、越南、瓦利斯和富圖納群島
電話驗證高成本	列支敦斯登、百慕達、維德角、柬埔寨、剛果民主共和國、 多米尼克、埃及、赤道幾內亞、迦納、瓜地馬拉、幾內亞、比紹、以色列、牙買加、牙買加、科索沃、茅利塔尼亞、瑪律地夫、馬里、茅利塔尼亞、摩洛哥、莫桑比克、巴布亞新幾 內亞、菲律賓、卡達、塞拉利昂、特立達 & 多巴哥、烏克蘭、辛巴威、阿富汗、阿爾及利亞、亞塞拜然、孟加拉國、白俄羅斯、里斯、不丹、蒲隆地、查德、科摩羅、剛果、衣索比亞、加彭共和國、海地、印尼、伊拉克、約旦、 科威特、吉爾吉斯斯坦、黎巴嫩、利比亞、馬達加斯加、馬拉威、蒙古、緬甸、瑙魯、尼泊爾、尼日爾、奈及利亞、巴基斯坦、巴勒斯坦民族權力機構、俄羅斯、塞內加爾、塞爾維亞、索馬里、斯裡蘭卡、蘇丹、塔吉克、坦尚尼亞、多哥共和國、突尼西亞、土庫曼、烏干達、烏茲別克斯坦、葉門、尚比亞

後續步驟

• 瞭解 TOTP 顯示控件 和 Microsoft Entra ID 多重要素驗證技術配置檔